我们有几台机器在 AWS 上的 VPC 内相互通信。它们全部位于没有公共 IP 地址的私有子网中。其中一台机器是 MSSQL 服务器,即我们的主要数据库。
在我们的办公室,我们有一个带有此 vpc 的 vpn 隧道,可以使用私有 IPS。
我正尝试从家里通过互联网安全地访问数据库,并尝试不修改数据库实例。
我创建了一个公共负载均衡器,它监听 tcp 1433 并将流量传递到实例以及端口 1433;这使我能够访问数据库,但我担心它不安全。
我希望流量在到达负载均衡器时被加密,然后像常规流量一样到达数据库。
使用负载均衡器可以实现这个吗?
我有一个域名和一个通过 AWS 证书管理器获得的证书。
答案1
最简单的方法是创建数据库并启用“可公开访问”,这必须在创建时完成。完成此操作后,您必须确保安全组已打开以允许从您想要的 IP 进行访问。我相信 AWS 提供了到互联网的路由,我认为您不必对其进行路由。
另一种选择是在您的工作网络中建立 VPN 会话,然后从那里使用现有的 VPN 连接到数据库实例。
如果你还没有用该选项创建数据库,你可以使用某种堡垒主机作为代理。这描述得很好这里,我认为没有必要复制粘贴答案。这个问题和答案提供有关设置堡垒主机的更多详细信息。
使用负载均衡器作为代理是一个有趣的选择,我从未考虑过这一点,因为通常不会这样做。负载均衡器通常位于公共 DMZ 中,Web 服务器位于另一个子网中,数据库位于另一个子网中,因此 ELB 不应具有数据库访问权限。服务器和数据库位于同一子网中的扁平网络会增加风险。我可能更喜欢使用 EC2 实例,因为我可以增加更多安全性。您可以将其设为 VPN 端点并将其用作代理。